Kezdőoldal > Exchange > Támadás-sorozat

Támadás-sorozat


Egyik ügyfélnél a biztonsági naplóban elkezdtek sorozatosan megjelenni Security 529 azonosítójú hibaüzenetek:

Forrás Eseményazonosító Legutóbbi előfordulás Összes előfordulás
  Security 529 2014.04.21. 3:20 1 530 *
Bejelentkezési hiba:
  Ok: Ismeretlen felhasználó vagy rossz jelszó
  Felhasználónév: oracle
  Tartomány:  
  Bejelentkezés típusa: 3
  Bejelentkezési folyamat: Advapi
  Hitelesítési csomag: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  Munkaállomás neve: DL380
  Hívó felhasználóneve: DL380$
  Hívó tartománya: DOMAIN
  Hívó bejelentkezési azonosítója: (0x0,0x3E7)
  Hívó folyamatazonosítója: 2052
  Átvitt szolgáltatások:
  Forrás hálózati címe:
  Forrásport:

Első körben ellenőrizték a tűzfalat, de ott nem volt sem az RDP, sem a http beengedve, de természetesen az SMTP igen. Ez a tény, valamint a folyamat azonosítójának visszafejtése (Inetinfo.exe) vezettek el oda, hogy valószínűleg STMP-támadás áldozatai lettek.

További adatok kiderítése céljából az ESM-ben megemeltük a logolást: STMP-protokoll/log engedélyezés, majd a loggolás engedélyezése mellett található tulajdonság-lapon, annak is a speciális fülén tudunk további adatokat bekapcsolni.

Ennek alapján kiderült az ip-cím, majd ezt lekövetve az is, hogy egy Shanghaj-i címről küldik a hitelesíteni próbálkozó emaileket. Ilyenkor néha segít, ha a támadó gép szolgáltatójának írott levéllel jelezzük, hogy adott kliense fertőzött – volt, hogy ilyenkor aktív kommunikáció alakult ki 🙂

 

Advertisements
Kategóriák:Exchange Címke: ,
  1. Még nincs hozzászólás.
  1. No trackbacks yet.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s

%d blogger ezt kedveli: